Ziel des Papiers ist eine höhere Verbreitung der Pseudonymisierung personenbezogener Daten, um den Schutz
für die Betroffenen zu verbessern. Hierfür schlägt die Note vor, pseudonyme Datenverarbeitung zu privilegieren: bei pseudonymer Datenverarbeitung sollen die schutzwürdigen Interessen des Betroffenen gegenüber dem
berechtigten Interesse der Verantwortlichen für die Datenverarbeitung niedriger zu bewerten sein als bei einer
Verarbeitung ohne diese Schutzmaßnahme. Darüber hinaus soll das Recht für Nutzer sozialer Netzwerke verankert werden, einen Alias (Pseudonym) anstelle ihres echten Namens zu nutzen.
Diesen Vorschlag begrüße ich, zumal viele der Anregungen, die ich im Rahmen der Ressortabstimmung auf Fachebene eingebracht habe, aufgegriffen worden sind. Eine maßvolle Privilegierung pseudonymer Datenverarbeitung ist durchaus ein gangbarer Weg, um Anreize für diese und weitere Schutzmaßnahmen zu geben.
Allerdings wäre eine kürzere und prägnantere Definition des Begriffes der Pseudonymisierung wünschenswert
gewesen. Der Vorschlag weist einige Redundanzen auf und orientiert sich zu wenig an bereits vorhandenen Begriffsbestimmungen.
Auch der Vorschlag, soziale Netzwerke nutzen zu können, ohne die eigene Identität preisgeben zu müssen, wird
von mir grundsätzlich unterstützt. Lediglich die vorgeschlagene Ergänzung in Erwägungsgrund 24 der DSGVO,
nach der die Ausübung dieses Rechtes den Maßnahmen der Strafverfolgung nicht entgegenstehen darf, erscheint
bedenklich. Im besten Fall soll hiermit lediglich klargestellt werden, dass strafrechtliche und strafprozessuale
Befugnisse unberührt bleiben. Im schlechtesten Fall könnte allerdings daraus auch gefolgert werden, es müsse
in einer Art Vorratsdatenspeicherung eine Nutzungsdatenbank geschaffen werden, die durch Abgleich mit Daten von Internetzugangsprovidern eine umfangreiche Überwachung der Internetnutzung ermöglichen würde.
Positiv bewerte ich auch die klare Abgrenzung zwischen den Begriffen der Pseudonymisierung und Anonymi sierung. Wie der Vorschlag unmissverständlich klarstellt, sind pseudonymisierte Daten in keiner Weise mit anonymisierten Daten gleichzusetzen, sondern sehr wohl personenbezogene Daten. Sie fallen damit in den Anwendungsbereich der geltenden und zukünftigen Rechtsvorschriften. Die Note räumt mit dem weitverbreiteten
Missverständnis auf, bei der Pseudonymisierung von Daten gehe der Personenbezug verloren. Das Konzept der
Pseudonymisierung stellt vielmehr eine reine Schutzmaßnahme dar.
Es bleibt abzuwarten, inwieweit diese Vorschläge aufgrund der weit fortgeschrittenen Verhandlungen im Rat
der Europäischen Union berücksichtigt werden. Ich würde es mir wünschen!
1.2.5 Zukunft der Datenschutzaufsicht
Die Zunahme grenzüberschreitender Datenübertragungen im Zuge einer globalen Wirtschaft und des wachsenden Angebotes von Waren und Dienstleistungen über das Internet erfordert übersichtliche Verfahren für Unternehmen und - auch im Sinne der Bürgerfreundlichkeit - eine effektive Zusammenarbeit der Datenschutzbehörden innerhalb der EU.
Die Europäische Kommission hat deshalb im Entwurf der DSGVO das Prinzip einer „zentralen Anlaufstelle“
(„One-Stop-Shop“) vorgeschlagen. Unternehmen, die über mehrere Niederlassungen innerhalb der EU verfügen, sollen sich an die Datenschutzbehörde des Mitgliedstaates wenden können, in dem sich ihre Hauptniederlassung befindet. Diese so genannte federführende Behörde soll EU-weit zuständig sein für alle aufsichtsbehördlichen Maßnahmen und Entscheidungen gegenüber dem betreffenden Unternehmen, wobei sie mit den auf
nationaler Ebene zuständigen Aufsichtsbehörden zu kooperieren hat. Daneben schlug die Kommission einen
Abstimmungsmechanismus für bestimmte Fälle vor, in denen mehrere Mitgliedstaaten von einem Verarbei tungsvorgang betroffen sind. Durch dieses so genannte Kohärenzverfahren soll eine einheitliche Datenschutzpraxis innerhalb der EU erreicht werden (vgl. 24. TB Nr. 2.1.1).
BfDI 25. Tätigkeitsbericht 2013-2014
– 29 –